Эксперты компаний Avast и ESET проанализировали малварь, которую использовала неизвестная китайская APT-группировка, шпионившая за неназванными телекоммуникационной и газовой компаниями, а также правительственным учреждением в Центральной Азии. Аналитики ESET дали этой кампании название Mikroceen.
В своих операциях хак-группа использовала бэкдоры, чтобы получить постоянный доступ к корпоративным сетям своих жертв. Основываясь на полученных данных, исследователи предполагают, что ранее эта же группа была причастна к другим атакам в Монголии, России и Беларуси, и активна как минимум 2017 года.
Данную теорию эксперты подкрепляют тем, что хакеры, во-первых, использовали троян Gh0st RAT, который давно и часто применяется китайскими APT-группами. Во-вторых, аналитики обнаружили явные сходства в коде использованных хакерами вредоносов.
Изученные бэкдоры позволяли хакерам управлять файлами жертв (удалять, читать, перемещать, проверять наличие), делать снимки экрана, вмешиваться в работу процессов и сервисов, а также выполнять консольные команды и скрывать признаки своего присутствия в системе. По команде малварь могла передавать данные компании-жертвы на свой управляющий сервер, а зараженные устройства могли играть роль прокси-сервера или прослушивать определенный порт на каждом сетевом интерфейсе.
«Группа, стоящая за этой атакой, часто перекомпилирует свои кастомные инструменты (которые, в дополнение к бэкдорам, включали Mimikatz и Gh0st RAT), чтобы избежать обнаружения антивирусными решениями. В итоге мы имеем большое количество образцов малвари, причем бинарники часто защищены VMProtect, что затрудняет анализ», – отмечает Луиджино Камастра, исследователь Avast.
Специалисты уже сообщили о своих выводах CERT и попытались связаться с пострадавшей телекоммуникационной компанией, однако пока ответов от пострадавших организаций получить не удалось. Учитывая, что группировка по-прежнему активна, а изученные инциденты удалось связать с атаками на другие цели, исследователи полагают, что мы еще услышим об этой хак-группе, и она продолжат атаковать цели и в других странах.
